1. Il nuovo Inforge! Stai usando la nuova versione di Inforge. Scopri le novità sul comunicato ufficiale.

[PHP / SQL]Protezione dei dati - Funzioni anti SQL-Injection

[PHP / SQL]Protezione dei dati - Funzioni anti SQL-Injection

  1. SubSilence

    SubSilence Utente Bronze
    Utente Bronze

    :
    4 Novembre 2009
    Messaggi:
    318
    Mi Piace:
    83
    SubSilence ha creato una nuova release:

    [PHP / SQL]Protezione dei dati - Funzioni anti SQL-Injection - [PHP / SQL]Protezione dei dati - Funzioni anti SQL-Injection

     
    #1 SubSilence, 6 Aprile 2011
    Ultima modifica di un moderatore: 31 Marzo 2015
    A DarkSide1 piace questo elemento.
  2. Leutnant Doof

    Leutnant Doof Utente Silver
    Utente Bronze

    :
    6 Novembre 2008
    Messaggi:
    374
    Mi Piace:
    71
    Bella guida, utile, semplice e per lo più non è nemmeno copiata.
     
  3. TomasTurbato

    TomasTurbato Utente Silver
    Utente Silver

    :
    13 Agosto 2010
    Messaggi:
    410
    Mi Piace:
    149
    o_O sei dio, perchè cercavo una guida dettagliata cm questa !! :D grazie mille ^_^
     
  4. dimiandre

    dimiandre Utente Silver
    Utente Silver

    :
    31 Dicembre 2009
    Messaggi:
    130
    Mi Piace:
    17
    bella, grazie mille :)
     
  5. SubSilence

    SubSilence Utente Bronze
    Utente Bronze

    :
    4 Novembre 2009
    Messaggi:
    318
    Mi Piace:
    83
    grazie mille per il rilievo
     
  6. supel

    supel Utente Silver
    Utente Bronze

    :
    18 Ottobre 2007
    Messaggi:
    319
    Mi Piace:
    2
    Mi serviva, almeno ho visto dov'era il problema : /
     
  7. V0K3

    V0K3 Utente Gold
    Utente Gold

    :
    28 Dicembre 2010
    Messaggi:
    4.247
    Mi Piace:
    1.179
    Il post è in rilievo quindi non è necropost...

    $pulito=str_replace("'","\'",$pulito);

    Questo codice non mi convince, basterà mettere: \' per far diventare la prima \ un commento....
     
  8. Mavin

    Mavin Utente Gold
    Utente Gold

    :
    21 Gennaio 2011
    Messaggi:
    1.137
    Mi Piace:
    277
    Essendo una guida non lo considero necropost.

    Codice:
    class secure{    function secureSuperGlobalGET($key)
        {
            $_GET[$key] = str_ireplace("script", "blocked", $_GET[$key]);
            $_GET[$key] = strip_tags($_GET[$key]);
            return $_GET[$key];
        }
    
    
        function secureSuperGlobalPOST($key)
        {
            $_POST[$key] = str_ireplace("script", "blocked", $_POST[$key]);
            $_POST[$key] = strip_tags($_POST[$key]);
            return $_POST[$key];
        }
    
    
    
        function secureVar($key){
            $key = str_ireplace("script", "blocked", $key);
            $key = strip_tags($key);
            return $key;
        }
    }
    Questo è completamente bunkerato da XSS sia html che javascript.

    Si potrebbe anche aggiungere

    Codice:
    $_GET[$key] = htmlspecialchars(stripslashes($_GET[$key]));
    che vi restituirà invece di:

    <a href="http://www.inforge.net">Inforge.net</a> -> Inforge.net (non Inforge.net)

    <a href="http://www.inforge.net">Inforge.net</a> -> <a href="http://www.inforge.net">Inforge.net</a> così com' è (se non erro, non ricordo bene).
     
  9. __Swoller

    __Swoller Utente Gold
    Utente Gold

    :
    29 Giugno 2011
    Messaggi:
    1.024
    Mi Piace:
    273
    Se si usano i PDOStatment l'sql injection non è piu un rischio, bisogna solo stare attenti in query pre-compilate con variabili esterne che non passano come array dopo il prepare
     
  10. SharK_EX

    SharK_EX Utente Silver
    Utente Silver

    :
    24 Luglio 2012
    Messaggi:
    35
    Mi Piace:
    2
    @Orcrux Carina la tua classe, ma secondo me, è meglio passare l'input per reference, è piu immediato, così si risparmia pure memora ;-)

    PHP:
    public static function sanitizeGeneralVar(&$var)     
    {        
             
    $var str_ireplace("script""blocked"$var);        
             
    $var strip_tags($var);    
    }
     
Sto caricando...